EP3195520B1

EP3195520B1 - Authentifizierung von kommunikationen

Info

Publication number: EP3195520B1
Application number: EP15777616.2A
Authority: EP
Inventors: Dave Roberts; Patrik Smets; Patrick Mestre; Duncan Garrett
Original assignee: Mastercard Ireland Ltd; Mastercard International Inc
Current assignee: Mastercard Ireland Ltd; Mastercard International Inc
Priority date: 2014-09-15
Filing date: 2015-09-15
Publication date: 2021-04-28
Anticipated expiration: 2035-09-15
Also published as: GB201416282D0; GB2530258A; US20160080151A1; WO2016041931A1; EP3195520A1

Claims

Verfahren zum Authentifizieren eines Kommunikationsnetzes, das eine Transaktionsvorrichtung (108), eine Ausgeberinstanz (104) und eine Interaktionspunktvorrichtung (102) umfasst, wobei es einen ersten Pfad zwischen der Transaktionsvorrichtung (108) und der Interaktionspunktvorrichtung (102) und einen zweiten Pfad zwischen der Ausgeberinstanz (104) und der Interaktionspunktvorrichtung (102) gibt, wobei das Verfahren an der Interaktionspunktvorrichtung (102) ausgeführt wird und Folgendes umfasst:
Empfangen, von der Transaktionsvorrichtung (108), eines ersten Sitzungsschlüssels, wobei der erste Sitzungsschlüssel durch die Transaktionsvorrichtung (108) unter Verwendung einer Funktion erzeugt (304) wird, wobei eine Eingabe in die Funktion eine inkrementierte Variable umfasst;

Empfangen, von der Transaktionsvorrichtung (108), einer ersten Vorrichtungsantwort und eines ersten Vorrichtungskryptogramms;

Weiterleiten (306) der ersten Vorrichtungsantwort und des ersten Vorrichtungskryptogramms an die Ausgeberinstanz (104) für eine Validierung;

Empfangen, von der Ausgeberinstanz (104), einer zweiten Vorrichtungsantwort bezüglich einer Zulässigkeit einer Transaktion nach Verarbeiten der ersten Vorrichtungsantwort und des ersten Vorrichtungskryptogramms durch die Ausgeberinstanz (104), und eines zweiten Vorrichtungskryptogramms, das mit einem zweiten Sitzungsschlüssel signiert ist, wobei der zweite Sitzungsschlüssel durch die Ausgeberinstanz (104) unter Verwendung der Funktion erzeugt (310) wird;

Verifizieren (316) des zweiten Vorrichtungskryptogramms durch Bestimmen, dass der erste Sitzungsschlüssel mit dem zweiten Sitzungsschlüssel übereinstimmt; und

Definieren des Kommunikationsnetzes als authentisch im Falle, dass das zweite Vorrichtungskryptogramm verifiziert ist.
Verfahren zum Authentifizieren eines Kommunikationsnetzes nach Anspruch 1, wobei der Schritt des Bestimmens ein direktes Vergleichen des ersten Sitzungsschlüssels und des zweiten Sitzungsschlüssels umfasst.
Verfahren zum Authentifizieren eines Kommunikationsnetzes nach Anspruch 1 oder 2, wobei die inkrementierte Variable eine Zählung der Anzahl der Transaktionen ist, die durch die Transaktionsvorrichtung (108) durchgeführt werden, oder die inkrementierte Variable eine Zeit ist.
Verfahren zum Authentifizieren eines Kommunikationsnetzes nach einem der vorhergehenden Ansprüche, wobei der erste Sitzungsschlüssel mit Daten empfangen wird, die mit einer Transaktion verknüpft sind, und/oder der zweite Sitzungsschlüssel mit Daten empfangen wird, die mit einer Transaktion verknüpft sind.
Verfahren zum Authentifizieren eines Kommunikationsnetzes nach einem der vorhergehenden Ansprüche, wobei die Transaktionsvorrichtung (108) angeordnet ist, um Transaktionen mit der Interaktionspunktvorrichtung (102) umzusetzen, und die Ausgeberinstanz (104) angeordnet ist, um Transaktionen zwischen der Transaktionsvorrichtung (108) und der Interaktionspunktvorrichtung (102) zu validieren.
Nicht flüchtiges, computerlesbares Speichermedium, das ausführbare Computerprogrammanweisungen zum Implementieren, auf einer Interaktionspunktvorrichtung, des Verfahrens nach einem der vorhergehenden Ansprüche speichert.
Interaktionspunktvorrichtung, die zum Authentifizieren eines Kommunikationsnetzes geeignet ist, wobei das Kommunikationsnetz eine Transaktionsvorrichtung (108), eine Ausgeberinstanz (104) und eine Interaktionspunktvorrichtung (102) umfasst, wobei es einen ersten Pfad zwischen der Transaktionsvorrichtung (108) und der Interaktionspunktvorrichtung (102) und einen zweiten Pfad zwischen der Ausgeberinstanz (104) und der Interaktionspunktvorrichtung (102) gibt, wobei die Interaktionspunktvorrichtung (102) Folgendes umfasst:
eine erste Eingabe, die angeordnet ist, um Folgendes zu empfangen:
einen ersten Sitzungsschlüssel von der Transaktionsvorrichtung (108), wobei der erste Sitzungsschlüssel durch die Transaktionsvorrichtung (108) unter Verwendung einer Funktion erzeugt wird, wobei eine Eingabe in die Funktion eine inkrementierte Variable umfasst;

eine erste Vorrichtungsantwort von der Transaktionsvorrichtung (108); und

ein erstes Vorrichtungskryptogramm von der Transaktionsvorrichtung (108);

eine Ausgabe, die angeordnet ist, um die erste Vorrichtungsantwort und das erste Vorrichtungskryptogramm an die Ausgeberinstanz (104) für die Validierung weiterzuleiten;

eine zweite Eingabe, die angeordnet ist, um eine zweite Vorrichtungsantwort bezüglich der Zulässigkeit einer Transaktion nach Verarbeiten der ersten Vorrichtungsantwort und des ersten Vorrichtungskryptogramms durch die Ausgeberinstanz (104) zu empfangen, und ein zweites Vorrichtungskryptogramm, das mit einem zweiten Sitzungsschlüssel von der Ausgeberinstanz (104) signiert ist, wobei der zweite Sitzungsschlüssel durch die Ausgeberinstanz (104) unter Verwendung der Funktion erzeugt wird;

einen Prozessor, der angeordnet ist, um das zweite Vorrichtungskryptogramm durch Bestimmen, dass der erste Sitzungsschlüssel mit dem zweiten Sitzungsschlüssel übereinstimmt, zu verifizieren und zu definieren, dass das Kommunikationsnetzwerk authentisch ist, im Falle, dass das zweite Vorrichtungskryptogramm verifiziert ist.
Interaktionspunktvorrichtung nach Anspruch 7, wobei die erste Eingabe und die zweite Eingabe die gleiche ist.
Interaktionspunktvorrichtung nach Anspruch 7 oder 8, die eine Ausgabe umfasst, die angeordnet ist, um eine Verifizierungsnachricht an die Transaktionsvorrichtung (108) oder die Ausgeberinstanz (104) auszugeben, wobei die Verifizierungsnachricht umfasst, ob die Kommunikation durch die Interaktionspunktvorrichtung (102) erfolgreich authentifiziert wurde.
Interaktionspunktvorrichtung nach einem der Ansprüche 7 bis 9, die eine Anzeige und eine Ausgabe umfasst, die angeordnet ist, um ein Transaktionsergebnis an die Anzeige auszugeben.